Перейти к публикации

Exile

Участник
  • Публикации

    33
  • Зарегистрирован

  • Посещение

Репутация

2 Neutral

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Обход Защитника Windows (10 способов) Введение В этой статье я расскажу о 10 способах/техниках обхода полностью обновленной системы Windows с актуальными данными Windows Defender с целью выполнения произвольного кода (кроме разрешений/ACL). Для тестирования использовалась следующая конфигурация: AWS EC2 с Ubuntu Linux AMI в качестве атакующего C2-сервера. AWS EC2 с Windows Server 2019 AMI в качестве машины жертвы. Локальная машина Windows 10 с Visual Studio 2022 Community для разработки/компиляции вредоносного ПО. Локальная машина Kali Linux для атаки. Обратите внимание, что я не буду слишком углубляться во многие концепции и в основном буду исходить из базовых знаний. Кроме того, я не стал выбирать слишком сложные техники, например, прямые вызовы системы (direct syscalls) или аппаратные точки останова (hardware breakpoints), поскольку это чрезмерно для антивирусов, и в любом случае их лучше описать в отдельной статье, посвященной EDR. Отказ от ответственности: Информация, представленная в этой статье, предназначена исключительно для образовательных и этических целей. Описанные техники и инструменты предназначены для законного и ответственного использования с явного согласия владельца целевой системы. Любое несанкционированное или злонамеренное использование этих техник и инструментов строго запрещено и может привести к юридическим последствиям. Я не несу ответственности за любой ущерб или юридические проблемы, которые могут возникнуть в результате неправильного использования предоставленной информации. 1. In-Memory AMSI/ETW patching Первый метод, который я хотел бы объяснить, также является тем, который я лично использую чаще всего, так как он очень удобен и быстр в исполнении. AMSI, или AntiMalware Scan Interface, - это независимый от производителя элемент управления безопасностью Windows, который сканирует PowerShell, wscript, cscript, макросы Office и т.д. и отправляет телеметрию поставщику безопасности (в нашем случае Defender), чтобы тот решил, является ли она вредоносной или нет. ETW, или Event Tracing for Windows, - это еще один механизм безопасности, который регистрирует события, происходящие в пользовательском режиме и драйверах ядра. Поставщики могут анализировать эту информацию, полученную от процесса, чтобы решить, имеет ли он вредоносные намерения или нет. К сожалению, Windows Defender работает с очень малым количеством телеметрии, поступающей от сеансов PowerShell. В частности, исправление AMSI для текущего процесса позволит нам выполнять любые вредоносные программы без файлов, включая инструменты (Mimikatz, Rubeus и т.д.) и ревер-шеллы. Для доказательства концепции я буду использовать встроенную функцию evil-winrm Bypass-4MSI, но очень легко создать собственный патчер AMSI/ETW в виде сценария PowerShell или исполняемого файла, как мы увидим позже. Таким образом, цепочка kill для дампа In-Memory logons с Mimikatz из процесса LSASS работает следующим образом: In-Memory AMSI Patching PoC Для лучшего понимания набор команд может быть объяснен на более высоком уровне следующим образом: Попробуйте написать известный триггер "Invoke-Mimikatz" как способ проверить, активен ли Defender. Выполните функцию evil-winrm Bypass-4MSI для исправления AMSI в текущем сеансе PowerShell. Снова вызовите триггер AV, чтобы проверить, работает ли телеметрия AMSI (как мы видим, уже нет). Загрузите реальный модуль Invoke-Mimikatz PowerShell в память с помощью Invoke-Expression. Выполните Mimikatz для дампа паролей входа в систему из LSASS. Обратите внимание, что выполнение Mimikatz было просто в демонстрационных целях, но вы можете делать практически все, что хотите из терминала PowerShell без телеметрии AMSI. 2. Обфускация кода Обфускация кода обычно не нужна или не стоит тратить на нее время для изначально компилируемых языков, таких как C/C++, поскольку компилятор в любом случае будет применять множество оптимизаций. Но большая часть вредоносных программ и инструментов написана на C# и, иногда, Java. Эти языки компилируются в байткод/MSIL/CIL, который легко поддается реверс-инженерии. Это означает, что вам придется применить некоторую обфускацию кода, чтобы избежать обнаружения сигнатур. Существует множество обфускаторов с открытым исходным кодом, но я буду основывать доказательство концепции этого раздела на инструменте обфускатора InvisibilityCloak C# от h4wkst3r. Например, используя инструмент GhostPack's Certify, который обычно используется для поиска уязвимых сертификатов в домене, мы можем использовать вышеупомянутый инструмент для обхода защитника следующим образом. Убедитесь, что Defender запущен и блокирует сборку Certify по умолчанию Обфускация кода Certify с помощью InvisibilityCloak Попытайтесь запустить обфусцированный Certify Мы видим, что теперь все работает без проблем, однако выдает ошибку, поскольку виртуальная машина не подключена к домену или не является контроллером домена. Мы можем сделать вывод, что все получилось, однако, обратите внимание, что некоторые инструменты могут нуждаться в более глубокой обфускации, чем другие. Например, в данном случае я выбрал Certify вместо Rubeus, поскольку это было проще для простых демонстрационных целей. 3. Обфускация во время компиляции Для изначально компилируемых языков, таких как C, C++, Rust и т.д., вы можете использовать обфускацию во время компиляции, чтобы скрыть реальное поведение подпрограмм и общий поток инструкций. В зависимости от языка, могут существовать различные методы. Поскольку для разработки вредоносных программ я использую C++, я расскажу о двух из них, которые я пробовал: обфускация LLVM и метапрограммирование шаблонов. Для обфускации LLVM самым большим публичным инструментом в настоящее время является Obfuscator-LLVM. Этот проект представляет собой форк LLVM, который добавляет уровень безопасности через обфускацию к создаваемым двоичным файлам. В настоящее время реализованы следующие дополнительные возможности: Подмена инструкций. Обфускация инструкций ассемблера для получения эквивалентного поведения при большей вычислительной сложности. Поддельный поток управления. Добавление нежелательных блоков инструкций для скрытия оригинального потока кода инструкций. Сглаживание потока управления. Делает ветвления и переходы более трудно предсказуемыми для того, чтобы скрыть намеренный поток инструкций. В заключение можно сказать, что инструмент генерирует двоичные файлы, которые в целом гораздо труднее поддаются статическому анализу человеком/антивирусами/EDRs. С другой стороны, метапрограммирование шаблонов - это техника C++, которая позволяет разработчикам создавать шаблоны, генерирующие исходный код во время компиляции. Это дает возможность генерировать различные двоичные файлы при каждой компиляции, создавать бесконечное количество ветвей и блоков кода и т.д. Два общедоступных фреймворка, которые я знаю и использовал для этой цели, следующие: ADVobfuscator от andrivet obfy от fritzone Для данного PoC я буду использовать второй, так как считаю его более простым в использовании. Более того, для PoC я буду использовать AMSI_patch от TheD1rkMtr в качестве двоичного файла по умолчанию для обфускации, так как это довольно простой проект на C++. Код обфусцированного двоичного файла можно найти здесь. Сначала давайте посмотрим на базовое дерево бинарных функций под Ghidra. Дерево двоичных функций по умолчанию Как мы видим, его не так уж сложно проанализировать. И вы можете найти главную функцию под 3-й рутиной FUN_. Главная функция бинарной функции по умолчанию Которая выглядит довольно простой для анализа и понимания ее поведения (патч AMSI через AMSIOpenSession в данном случае). Теперь давайте посмотрим на обфусцированное дерево бинарных функций. Обфусцированное дерево бинарных функций Это дерево выглядит безумно сложным для статического анализа, поскольку в нем много вложенных функций. И, как мы видим, это представленные функции, основанные на шаблонах.
  2. Думаю, все видели волшебные тимы, в которых предлагают за процент разводить мамонтов на лохматый кэш. Обучение у них, соответственно, прилагается, только попу с дивана нужно поднять. Не хотите хэдшот в жопу? Это всё скам. И скам не лохмачей, а именно воркеров, кто ищет как бы подзаработать, желательно кушая баунти на острове с пальмой. Суть: Открывается тима, которая якобы скамит буржуйский трафик трейдеров по собственной приватной схеме. Воркеру подгоняются готовенькие мамонты, задача лишь обработать - отправить шерстюгану бабки на биток, дождаться перевода от мамонта на другую криптовалюту и отменить транзакцию. Перед этим всем хуеплетением человеку кидают транзакцию на небольшую сумму и делают отмену перевода, подтверждая работоспособность данной схемы на живом примере. На самом деле лох из-за гор и ТС - один и тот же перец. После отправки Биткойнов на якобы кошелёк мамонта, ТС увеличивает комиссию раньше воркера и транзу уже не отменить. Таким образом, воркер проходит этап мамонтизации и уходит втирать себе в жопу крем от охуения. Все проекты по заработку на отмене транзакций - чистое наебалово, не ведитесь на это 👍
  3. Отличная новость — сейчас вы узнаете как можно бесплатно получить домен «.eu.org» как минимум на один год. 1. Переходим по ссылке  и проходим регистрацию; 2. Подтверждаем почту через письмо пришедшее на почту, которую вы указывали; 3. Авторизуемся на сайте через логин, который написан в письме; 4. Переходим по ссылке и проходим регистрацию; 5. Нажимаем на "Create zone" —> "Master zone", в поле "Domain name:" вводим желаемый домен (например, domain.eu.org); 6. Жмём "Create" и нас перекидывает на панель управления, записываем наши домены; 7. Возвращаемся на "nic.eu.org ", нажимаем "New domain" и в поле "Complete domain name" вводим домен из п.5; 8. Листаем вниз, нажимаем на "Server names" и вводим в поля "Name*" наши домены из п.6; 9. В течение месяца ожидаем одобрение нашего домена; 10. Поздравляю, вы великолепны!
  4. Приветствую Набираю команду работать под% Есть новая хорошая схема☑️ Внутри биржи Binance👌🏻 Профит 6-7%💣 Работаем от 200$ и выше💸 Ничего сложного🪙 Кому интересно пишите в личку📬
  5. сейчас проверю
  6. Exile

    Взлом домашнего роутера

    Напиши модель своего роутера.
  7. это что реклама?
  8. Отличные новости — парад продления жирных промоакций продолжается. На этот раз каждый желающий может получить 2 000₽ от банка «Открытие». 1. Переходим по ссылке и оформляем кредитную карту «120 дней без процентов» или «Opencard кэшбек на всё»; └ Карты имеют ряд достоинств: вечное бесплатное обслуживание и выпуск, льготный период до 120 дней, кредитный лимит до 500 000₽. Теперь к различиям: «Opencard» дает кэшбэк 2% на любые покупки, а «120 дней без процентов» бесплатное снятие наличных до 50 000₽ каждый месяц; 2. Получаем карту, после чего совершаем покупки на сумму от 2 000₽ в течение 30 дней; 3. Получаем 2 000₽ кэшбэка на счет; 4. PROFIT!
  9. Думаю, каждый пользователь «телеги» хотя бы раз в жизни ловил спамблок — ограничение, которое позволяет общаться только с взаимными контактами. Сегодня я расскажу про то, как снять спамблок. 1. Переходим в @spambot и прописываем команду /start; 2. Отвечаем на несколько вопросов следующим образом: «Это ошибка» —> «Да» —> «Нет, ничего подобного не было»; 3. Отправляем в чат нечто в духе: "I am from U, I can't message my family." 4. Ожидаем в течение 10 минут снятие спамблока; 5. Поздравляю, вы великолепны!
  10. 45 минут это конечно мощно....
  11. Иногда в «Telegram» возникают ситуации, когда необходимо угомонить какого-нибудь малолетнего тролля и сегодняшняя схемка в этом вам поможет. 1. Отписываем жертве с фейкового аккаунта; 2. Под каким-либо предлогом убеждаем жертву написать и отправить ссылку на взломанный телеграм в любой чат или личные сообщения; └ Специально для особо одаренных — ничего скачивать не нужно. Необходимо лишь что бы жертва скопировала и отправила ссылку на взломанный телеграм из любого попавшегося сайта; 3. Готово! ☑️ Жертва получает вечный спамблок, который невозможно снять.
  12. При желании пользователь может легко вывести звук из любой интересующей вкладки с видео на обычные колонки, а также, допустим, звук из вкладки с аудио на наушники. Для автоматизации этого процесса можно использовать расширение для Chrome под названием AudioXout → ТЫК ←. С его помощью можно выбрать устройство вывода звука для интересующей вас вкладки браузера. Всё, что вам нужно, это кликнуть по иконке расширения и выбрать интересующее вас устройство. Имеется возможность запомнить данный выбор.
  13. Сегодня я расскажу как как купить газировку «Добрый Кола» по 30₽ за литр без воровства баллов, очередей, невалидных штрихов и прочих заморочей, приятного чтива. 1. Скачиваем приложение «Самокат» ; 2. Проходим регистрацию через левые сим или сервисов приема смс (обязательно нужен аккаунт без заказов; 3. Находим «Добрый Кола» и добавляем в корзину 12 штук; 4. Применяем промокод "PY5DLQ"; 5. Оформляем заказ; 6. Поздравляю, вы великолепны! Перепродаем колу или пьем сами. Во избежание бана адреса нужно заказывать в другую квартиру, но не соседнюю ( к примеру, можно использовать несуществующие номера квартир).
  14. Перед вами простенькая схемка, которая позволит бесплатно получить 350 баллов «Яндекс.Плюс», которые можно потратить на еду, такси, каршеринг, билеты в кино, заправку, товары из маркета и т.д. 1. Регистрируем новый аккаунт «Яндекс» (если аккаунт уже есть, то пропускаем этот пункт) и подключаем подписку «Яндекс.Плюс» по помокоду "3MLLERGCC6" на 3 месяца; 2. Скачиваем приложение «Плюс.Сити» ; 3. Авторизуемся в наш аккаунт, переходим по ссылке и находим одноименное задание └ Задание может быть не у всех, если у вас его нет, попробуйте немного поиграть в «Плюс.Сити»; 4. Переходим по ссылке и находим пробную подписку «Амедиатека» на 7 дней , подключаем её; 5. Смотрим фильм или сериал (в зависимости от задания) и получаем 300 баллов; 6. Поздравляю, вы великолепны!
  15. Громкое заявление конечно, пройди проверку. Без проверок все подобные предложения для меня лично скам
×
×
  • Создать...